Retour à l'accueil

Politique de divulgation responsable

Cette politique définit les conditions dans lesquelles Apex Pentest reçoit, analyse et traite les signalements de vulnérabilités. Elle ne constitue pas une autorisation générale de test sur des systèmes tiers.

Périmètre

Les tests ne doivent porter que sur les actifs explicitement désignés par Apex Pentest ou par une organisation cliente dans un accord écrit. Tout actif non listé, tout service tiers et tout environnement personnel, fournisseur ou partenaire est considéré hors périmètre par défaut.

Règles d'engagement

  • Ne pas provoquer de déni de service, de charge excessive ou de dégradation volontaire.
  • Ne pas exfiltrer, modifier, supprimer ou publier de données qui ne vous appartiennent pas.
  • Ne pas réaliser d'ingénierie sociale, de phishing, d'appel téléphonique trompeur ou de test physique.
  • Limiter toute preuve de concept au strict nécessaire pour démontrer l'impact.
  • Signaler rapidement la vulnérabilité et préserver la confidentialité jusqu'à accord de publication.

Safe harbor

Lorsque vos recherches respectent strictement cette politique, sont menées de bonne foi et sont signalées sans délai indu, Apex Pentest s'engage à ne pas initier de démarche juridique à votre encontre pour ces seules recherches. Cette clause ne limite pas les droits des tiers, des clients ou des autorités compétentes.

Délais de réponse

Accusé de réception
Sous 5 jours ouvrés.
Triage initial
Sous 15 jours ouvrés.

Canal de contact

Les signalements doivent être transmis à l'adresse suivante avec un résumé, les étapes de reproduction, l'impact estimé et toute limite de test pertinente.

[email protected]